Înțelegerea modelelor de maturitate a securității cibernetice – Huntsman

martie 3, 2020

Cybersecurity Maturity Model Certification (CMMC) este o inițiativă americană condusă de biroul secretarului adjunct al Apărării pentru achiziții în cadrul Departamentului Apărării (DoD). Acesta impune cerințe contractorilor și subcontractanților DOD pentru a ajuta la protejarea informațiilor în cadrul lanțului de aprovizionare al Apărării din SUA. Această postare este a doua dintr-o serie în care analizăm CMMC și analizăm modul în care puteți obține conformitatea sau îl puteți folosi ca bază a propriului program de securitate a informațiilor. Puteți citi primul post care oferă o imagine de ansamblu a CMMC, aici.

să începem prin a analiza de ce există modele de maturitate în domeniul securității cibernetice și modul în care acestea ajută organizațiile să își orienteze procesele de afaceri (cum ar fi managementul securității informațiilor) împotriva unei rotații a monitorizării, evaluării și îmbunătățirii continue. Această viziune istorică a locului în care au apărut modelele de maturitate este importantă pentru echipele de securitate cibernetică ca bază a fiecărui nivel de maturitate, rațiunea de bază aplicată securității cibernetice și cele 17 domenii specifice ale CMMC vă ajută să luați decizii de securitate mai bune și să evaluați ce trebuie făcut pentru a progresa între niveluri.

obțineți o imagine imediată a eficienței controlului de securitate-vizionați videoclipul scurt

essential 8 Auditor prezentare generală scurtă video

ce sunt modelele de maturitate?

modelele de maturitate au fost utilizate în ingineria software încă din 1986. Inițial, Capability Maturity Model (CMM) a fost dezvoltat pentru a evalua maturitatea procesului contractorilor Departamentului Apărării din SUA, ca un indicator al probabilității de a livra un proiect software de succes; cu cât scorul de maturitate este mai mare, cu atât procesele lor sunt mai bune și probabilitatea mai mare de a utiliza procese stabilite pentru proiectarea, dezvoltarea, asigurarea calității (testarea) și construirea de software.

termenul scadență se referă la aspecte specifice ale evaluării, în care nivelul de stabilire și optimizare a fiecărui proces poate varia de la Ad hoc la definit și optimizat formal. Deoarece această abordare CMM timpurie a avut ca scop îmbunătățirea proceselor de dezvoltare software, aplicabilitatea sa a fost oarecum limitată, astfel încât în 2006, Institutul de Inginerie Software (Sei) de la Universitatea Carnegie Mellon l-a refăcut pentru a crea integrarea modelului de maturitate a capacității (CMMI), care a înlocuit acum cadrul original CMM.

de atunci, modelele de maturitate a capacităților au apărut în tot felul de discipline, cum ar fi infrastructura TIC, managementul serviciilor, Managementul proceselor de afaceri, producția, ingineria civilă și securitatea cibernetică.

CMMI

cadrul Capability Maturity Model Integration (CMMI) este un meta-cadru de măsurare și îmbunătățire a proceselor care ajută organizațiile să măsoare eficacitatea proceselor lor și să identifice cum să le îmbunătățească în timp.

Statele Unite ale Americii. Departamentul Apărării a finanțat și a asistat la dezvoltarea CMMI, care a fost precursorul instrumentului CMMC pe care îl analizăm în această serie de bloguri. CMMI este administrat de Institutul CMMI, achiziționat în 2016 de ISACA.

CMMI este acum utilizat în întreaga lume, atât în ingineria software, cât și în managementul serviciilor TIC. Organizațiile care furnizează produse sau servicii guvernamentale sunt adesea rugate să îndeplinească nivelul CMMI 3 în cadrul proceselor lor de bază de livrare, un nivel de maturitate care necesită utilizarea metodelor formale de proiectare, dezvoltare, testare și livrare. CMMI are cinci niveluri de maturitate, nivelul 5 fiind starea țintă ideală în care procesele sunt complet optimizate în întreaga afacere și gestionate în cadrul unui regim de îmbunătățire continuă a proceselor.

niveluri de maturitate

CMMI are cinci niveluri de maturitate, care respectă liniile directoare originale ale CMM. Aceste niveluri sunt după cum urmează:

  1. inițial: procesele sunt oarecum ad-hoc și nedefinite în afară de documentația localizată.
  2. gestionat: Procesele sunt gestionate în conformitate cu valorile convenite, dar nu se pune accentul pe evaluarea eficacității sau colectarea feedback-ului și în timp ce procesele sunt urmate, nu există nicio noțiune a succesului lor. Procesele nu sunt consecvente în întreaga afacere.
  3. definite: procesele sunt bine definite și recunoscute ca procese de afaceri standard și sunt defalcate în proceduri mai detaliate, instrucțiuni de lucru și registre (artefacte) utilizate pentru înregistrarea rezultatelor proceselor.
  4. gestionate cantitativ: Valorile sunt colectate din fiecare proces și sunt transmise unui comitet de guvernanță a procesului care analizează și raportează eficacitatea procesului.
  5. optimizare: managementul proceselor include un accent pe optimizarea disciplinată și îmbunătățirea continuă a proceselor, iar o echipă completă de analiști de afaceri măsoară și evaluează fiecare aspect al afacerii pentru posibile probleme și oportunități de îmbunătățire.

deoarece securitatea cibernetică se concentrează atât de mult pe procesele de afaceri, este logic să apară un cadru CMMI adaptat pentru maturitatea securității.

modele de maturitate Cybersecurity

CMMI este flexibil și se aplică oricăror procese de afaceri, astfel adaptarea cadrului pentru gestionarea securității informațiilor a fost un pas evident. Un exemplu de soluție CMMI adaptată pentru securitatea cibernetică este platforma de Cybermaturitate a Institutului CMMI, un instrument conceput pentru a măsura maturitatea generală a securității în raport cu modelul original. Un alt model adaptat special securității operaționale este SOC-CMM, care adaugă un strat suplimentar de maturitate sub stratul original „inițial” specificat de CMMI. Aici procesele SOC nu au fost niciodată stabilite, în consecință evaluate ca „inexistente.”Perfecționarea suplimentară a SOC-CMM îl face un model de maturitate continuă, deoarece majoritatea proceselor de securitate ar trebui să fie evaluate și îmbunătățite continuu în raport cu alte standarde, cum ar fi ISO 27001.

după cum am văzut, Departamentul Apărării al SUA a avut un interes deosebit pentru maturitatea proceselor, așa că nu este de mirare că și-au lansat propria abordare a maturității securității cibernetice în cadrul CMMC. CMMC are, de asemenea, cinci niveluri de certificare care măsoară maturitatea procesului cibernetic, fiecare nivel dezvoltându-se pe cel anterior cu cerințe tehnice specifice. Procesele sunt împărțite în 17 domenii de securitate separate, aliniate foarte strâns la Cadrul de securitate cibernetică NIST (CSF), astfel CMMC poate fi utilizat împreună cu CSF pentru a proiecta, Livra și rula un program de securitate optimizat și îmbunătățit continuu. Nivelurile CMMC, similare cu nivelurile CMMI, rulează de la inițial până la optimizat, dar definițiile fiecărui nivel sunt specifice securității cibernetice, după cum urmează:

  1. nivelul 1: Efectuați practici de igienă cibernetică de bază, cum ar fi utilizarea software-ului antivirus și asigurarea faptului că angajații schimbă parolele în mod regulat (ca exemple).
  2. nivelul 2: documentați anumite practici de „igienă cibernetică intermediară” pentru a începe să protejați informațiile neclasificate controlate (CUI) prin implementarea Departamentului de Comerț al SUA Institutul Național de standarde și Tehnologiepublicația specială 800-171 revizia 1 (NIST 800-171 r1) cerințe de securitate.
  3. nivelul 3: Planul de management instituționalizat pentru punerea în aplicare a bunelor practici de igienă cibernetică pentru a proteja CUI, inclusiv toate cerințele de securitate NIST 800-171 r1 și standardele suplimentare.
  4. nivelul 4: procese implementate pentru revizuirea și măsurarea eficacității practicilor, precum și practici suplimentare îmbunătățite stabilite care detectează și răspund la schimbarea tacticii, tehnicilor și procedurilor amenințărilor persistente avansate (apt).
  5. nivelul 5: Procese standardizate și optimizate și practici suplimentare îmbunătățite care oferă capacități sofisticate de detectare și răspuns la Apt-uri.

după cum puteți vedea din aceste niveluri, continuumul urmează același model ca CMMI, dar este special adaptat pentru securitatea cibernetică. Evaluatorii pot folosi acum CMMC pentru a evalua și acredita SUA. Lanțul de aprovizionare al Departamentului Apărării, care este un regim puternic de stabilit, deoarece face bariera de intrare pentru organizațiile mai mici relativ ușor de atins, deoarece schimbarea și îmbunătățirea organizațiilor mai mici sunt adesea mai ușor de implementat decât organizațiile mai mari cu structuri și cerințe de afaceri mai complexe.

pașii următori – privind domeniile CMMC

în această postare, am analizat istoricul din spatele cadrului CMMC și de ce este important în securitatea cibernetică să adoptăm un model ca acesta pentru a ne asigura că ne îmbunătățim continuu postura de securitate. În postările viitoare vom analiza o selecție de domenii și vom urmări progresul maturității de la cel mai mic la cel mai înalt nivel, oferind context și exemple despre modul în care puteți îndeplini capacitățile și practicile.

Lasă un răspuns

Adresa ta de email nu va fi publicată.